红色十月恶意软件攻击的归因思考

　　卡巴斯基实验室于1月14日宣布发现红色十月（Red October）恶意软件攻击，它们对这个异常复杂的僵尸网络的来源进行了分析。根据卡巴斯基实验室的分析显示，红色十月中使用的模块似乎经过俄罗斯开发人员的编码，而针对微软Word和Excel的漏洞利用被认为是由中国黑客所创建。然而，这些猜测都突显了攻击归因的难度，至少一些取证专家认为找出“幕后黑手”的努力可能会白费。

　　E-Fensive Security Strategies高级安全工程师Jesus Oquendo表示，大多数用于归因的方法都存在缺陷，不管它们的支持者如何吹捧。Oquendo在网络安全论坛倡议在防御网络空间操作工程师课程中教授进攻安全性、恶意软件分析和逆向工程。在调查攻击来源时，通常检查的元素包括：分析IP地址、使用关键字搜索、检查任何所使用的代码，以及普通的猜测工具—该领域的专家更愿意称之为“推断”。但Oquendo说：“就是这些，没有其他什么方法了，真的没有其他可靠的方法来调查攻击归因。”

　　归因问题的症结是高度纯熟的攻击者可以通过操纵这些元素来甩掉研究人员的追踪，并在很多情况下，他们还会策划牵连无关的第三方。“研究人员面临的问题要比攻击者的问题大得多，”专门从事计算机取证和开源智能（OSINT）技术的网络安全专家Scot Terban表示，“攻击者想要尽可能地撇清自己与罪犯的关系，让那些试图找出谁做了什么的研究人员陷入混沌之中。”

　　IP地址分析

　　大多数研究人员会检查与攻击有关的IP地址，但熟练的攻击者很有可能会在被他们感染的第三方网络中周旋。Terban表示：“日志中攻击了你的资源的IP地址可能只是一颗棋子，并且，这个IP可能只是在另一颗棋子指使下的受感染的机器。”

　　Oquendo表示同意，他指出，IP地址可以提供对攻击结构的信息，但对归因没有多大用处。大多数攻击者（特别是高度技术性的攻击者）都是非常精通于在‘雷达下飞行’，如果攻击者能够保持攻击五年而不被发现——正如红色十月背后的攻击者那样，你怎么知道他们是否真的是研究人员在日志中发现的IP地址或netblock所关联的对象？

　　让问题复杂化的是，精明的攻击者往往会通过历来不配合国际调查的国家来路由攻击。Terban表示：“很多时候，作为中介的服务器/系统位于其他国家，研究人员很难获得调查许可证，即使拿到了，也很难查看日志。”Oquendo说：“攻击者选择与其他国家没有任何司法互动的国家、以及互相看不顺眼的国家是有道理的，这使得政府部门无法合作调查这些犯罪，”

　　关键字搜索和词法分析

　　研究人员还会进行词法分析和关键字搜索，来查找术语或其他语言线索来将攻击者关联到已知个人或实体，例如红色十月可执行代码中发现的俄罗斯俚语。但这样的术语也可能是攻击者用于误导研究人员的。

　　Oquendo 表示：“举个例子，如果一名研究人员发现一些东西发音类似‘红色龙’，他们可能会联想到中国。而实际上，这个恶意软件或病毒的编写者可能刚好是电影‘红色龙’的粉丝，或者只是为了混淆视听。而一些供应商和媒体会在这方面进行深挖，并认定中国就是罪魁祸首。”

　　研究人员使用的另一种技术是收集开源情报—通过监控社交媒体、论坛和互联网中继通信，来查找与特定攻击相关的内容。Terban指出：“通过监测开源信息，研究人员也许能够知道谁在攻击谁以及原因。”当然，这些媒体也可能是受攻击者的操纵，以摆脱自己的罪名，或者牵连到第三方。

　　推理和直觉

　　决策者并不需要确切的归因来做出决定，因为大部分时候智能从来都不是100%可靠，但仍然要作出决策。通常，归因工作往往归结为猜测工作。Terban表示：“更细致的方法开始被用于确定攻击者的归因，但归因可能不是来自这些确凿的证据，而是来自推理和直觉。”

　　归因重要吗？

　　如果说，归因这么难，为什么这么重视它？有些人可能会说，这可以归结为一种报复的心理，但Oquendo 指出，“除了防病毒供应商宣传满足他们的财务和经济需要。从政府方面来看，他们可以很容易地将这类攻击行动的矛头指向其选定的敌对国。这是政府的逻辑方法，然而，作出决定的人并不是技术领域的人，所以，他们通常会依赖于从一开始就搞错归因的‘专家’。”

　　或者正如Terban所说：“我们太重视归因了，在我们考虑追踪窃取了我们数据的敌人之前，我们需要先审视自己。”